Что мне делать с VLAN 1 по умолчанию на 3Com 4210?
Я немного не понимаю, как использовать VLAN по умолчанию на 3Com 4210.
Коммутатор настроен из коробки со всеми портами в VLAN 1 по умолчанию. Мне нужно 4 VLAN на этом коммутаторе:
- 100 - Внутренний WIFI
- 101 - Внутренняя LAN
- 200 - Гостевой WIFI
- 999 - LAN управления для моих точек беспроводного доступа (также для коммутатора ??)
Итак, мой вопрос касается VLAN 1 по умолчанию. Мне не нужна эта VLAN, но я не могу ее удалить (веб-интерфейс говорит, что VLAN 1 нельзя изменить). Так какие риски это несет? Если все мои порты попадают в эту VLAN, тогда разве это не противоречит тому, что такое VLAN? Мне не нужен этот широковещательный домен между всеми портами. Я хочу сократить этот коммутатор и иметь 4 порта для точек беспроводного доступа (это транки - WAP будут без тегов VALN 999; Internal WIFI 100; Guest WIFI 200), 20 портов для внутренней LAN и два транка, которые соединяют коммутатор с маршрутизатор pfSense (Alix 2D13).
Вам не нужно избавляться от VLAN, просто не назначайте ему какие-либо порты / MAC-адреса и т. Д., Тогда он просто бездельничает, ничего не делая, не более или менее рискованно, чем создание новой VLAN и не назначать ее.
Кстати, а что делает ваша маршрутизация?
Я согласен с ответом Chopper3.
Если вы назначите порт для vlan, скажем, 200 (без тегов и переведете порт в режим доступа), то он не будет частью vlan1. Порт доступа может содержать только 1 немаркированный vlan. Так что не беспокойтесь об этих портах.
Переведите порты каскадирования в режим транка. Магистральные порты могут содержать только тегированный трафик. Vlan1 по умолчанию немаркирован (иначе говоря, в вашем трафике не будет тега vlan), поэтому трафик vlan1 не будет проходить через ваши восходящие порты.
Итак, глядя на ваше изображение, не возникнет проблем, если вы поместите свои порты «доступа» в vlan, отличный от 1, а вы 2 восходящего канала в качестве портов «магистрали».
Совет по безопасности неиспользуемых портов
Что мы делаем в нашей компании, так это то, что мы позволяем всем неиспользуемым (портам без кабеля / назначения) портам в vlan1 (также известный как vlan по умолчанию). Но добавьте vlan 1 в список запрещенных vlan на порте восходящего канала (даже не нужно, если вы переводите порт восходящего канала в режим «транка»). Таким образом, если кто-то подключит свое устройство к порту, которому не назначен известный vlan (он же 100,101,200,999), он не сможет причинить вреда. Он может разговаривать с другими устройствами, подключенными к этому коммутатору в vlan 1, но не может покинуть коммутатор и перейти дальше в вашу сеть.
Вы можете пойти дальше, на большинстве управляемых коммутаторов отключите порт. Но есть жалобы коллег, которые ищут 30 минут для рабочего кабеля (тот, который показывает ссылку), чтобы затем просто узнать, что его порт отключен, а кабель в порядке ...
Проблема с сообщением коммутаторов 3com «vlan N не может быть изменена» вызвана тем, что режим порта не установлен (доступ, гибрид, магистраль, матрица).
Я просто хотел прояснить это, поскольку это не очевидно.
Команда cli "отобразить это" в конкретном интерфейсе, который вы редактируете, - ваш друг ;-)